關(guān)于IPv6(Inte.NET協(xié)議版本6)的最常見的神話之一是它將恢復(fù)所謂的端到端互聯(lián)網(wǎng)原則。本文解釋了當(dāng)前企業(yè)WAN中當(dāng)前無(wú)處不在的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)如何使這種情況變得非常不可能。
互聯(lián)網(wǎng)的核心設(shè)計(jì)原則之一通常被稱為端到端原則,并贊成一個(gè)笨網(wǎng)絡(luò),大部分信息都駐留在主機(jī)上。該原理導(dǎo)致一種體系結(jié)構(gòu),其中網(wǎng)絡(luò)簡(jiǎn)單地將數(shù)據(jù)報(bào)從源主機(jī)轉(zhuǎn)發(fā)到目的地主機(jī)(或主機(jī)集),而無(wú)需對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)進(jìn)行進(jìn)一步的解釋。
隨著簡(jiǎn)單的互聯(lián)網(wǎng)架構(gòu)的發(fā)展,網(wǎng)絡(luò)設(shè)備的激增違反了這一原則。主要的例子是網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和端口地址轉(zhuǎn)換(PAT-NAT的擴(kuò)展)。
NAT本質(zhì)上是為了保護(hù)稀缺的IPv4網(wǎng)絡(luò)地址(通過在多個(gè)主機(jī)之間共享網(wǎng)絡(luò)地址)而引入的。 例如,NAT是用于通過單個(gè)IPv4地址將整個(gè)家庭網(wǎng)絡(luò)連接到因特網(wǎng)的事實(shí)標(biāo)準(zhǔn),通常由Internet服務(wù)提供商(ISP)分配。NAT通過重寫轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)的IPv4地址和傳輸端口號(hào),來(lái)違反端到端原則。NAT還阻止從外部網(wǎng)絡(luò)中的主機(jī)連接到NAT后面的主機(jī)的直接通信(因?yàn)镹AT通常要求從內(nèi)部網(wǎng)絡(luò)內(nèi)發(fā)起通信)。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換被指出會(huì)增加網(wǎng)絡(luò)的脆弱性,因?yàn)镹AT的故障通常會(huì)影響NAT后面的整個(gè)網(wǎng)絡(luò)。此外,NAT對(duì)受益于端到端連接的應(yīng)用程序(例如對(duì)等網(wǎng)絡(luò))提出了挑戰(zhàn)。
雖然NAT的引入主要是由于需要共享稀缺的IPv4網(wǎng)絡(luò)地址,但使用NAT實(shí)現(xiàn)了許多其他好處:
-
NAT減少了主機(jī)暴露。
-
他們提供主機(jī)隱私/偽裝。
-
NAT可以隱藏網(wǎng)絡(luò)拓?fù)洹?/p>
-
它們使企業(yè)的IP地址獨(dú)立于ISP。
特別是地址獨(dú)立性是導(dǎo)致具有大量公共IPv4地址的許多組織部署NAT的主要原因。
然而,由于NAT被廣泛地認(rèn)為其唯一作用是共享稀缺的IPv4地址,通常假設(shè)IPv6(因?yàn)橛袛?shù)量巨大的真實(shí)IP地址)消除了NAT的需要和動(dòng)機(jī),因此IPv6的部署將因此而恢復(fù) “互聯(lián)網(wǎng)的端到端原則”。
IPv6的神話:恢復(fù)了互聯(lián)網(wǎng)的端到端原則
仔細(xì)分析網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)在當(dāng)前Internet體系結(jié)構(gòu)中所扮演的角色以及當(dāng)前部署IPv6的策略,可以幫助消除這種已經(jīng)確立的 “IPv6恢復(fù)互聯(lián)網(wǎng)端到端原則” 的神話。
首先,如上所述,NAT提供除了共享稀缺網(wǎng)絡(luò)地址之外的有價(jià)值的特征,例如地址獨(dú)立性。NAT允許組織在組織網(wǎng)絡(luò)內(nèi)使用所謂的私有地址空間,因此在切換ISP時(shí)不需要重新編號(hào)內(nèi)部IP地址。這可能是IPv6版NAT(稱為NAT66)是最受歡迎的IPv6功能之一的原因之一。
其次,因?yàn)槿藗儍A向于抵制變化(厭惡變化的心理)及其他原因,很有可能原有的IPv4網(wǎng)絡(luò)的安全架構(gòu)將被用于新的IPv6網(wǎng)絡(luò),因此,典型的IPv6子網(wǎng)將受到只允許返回業(yè)務(wù)的有狀態(tài)防火墻保護(hù)(即,IPv6子網(wǎng)僅允許從網(wǎng)絡(luò)內(nèi)部發(fā)起的通信實(shí)例)。
最后,無(wú)論是IPv4和IPv6互聯(lián)網(wǎng)中,IPv6過渡/雙棧技術(shù)將導(dǎo)致部署大量的NAT。在IPv4 Internet中,將部署不同風(fēng)格的NAT(CGN、A+P等),從而即使IPv4地址空間耗盡,也可以向新節(jié)點(diǎn)提供本地IPv4連接。在IPv6 Internet中,將部署IPv6/IPv4轉(zhuǎn)換器(如NAT64),以便IPv6-only節(jié)點(diǎn)可以與IPv4-only的節(jié)點(diǎn)進(jìn)行通信。這與其他IPv6過渡/共存技術(shù)一起,必將至少在短期和近期內(nèi)增加IPv4和IPv6互聯(lián)網(wǎng)的復(fù)雜性以及曾經(jīng)笨網(wǎng)絡(luò)所需的智能。
IPv6不僅不可能恢復(fù)Internet的端到端原則,而且NAT在短期內(nèi)很可能會(huì)增加:事實(shí)證明,長(zhǎng)期以來(lái)被視為“罪惡”的NAT已經(jīng)成為IPv6中所期望的特性和IPv6傳輸?shù)年P(guān)鍵組件。
